La comunicación a terceros por parte de los colegios profesionales de los datos personales de los colegiados
En relación con la necesidad de la autorización de los Colegiados al efecto de la «disposición» de sus datos, si la misma -caso de ser necesaria- debe ser individualizada para cada comunicación o cesión de datos o podría ser de carácter general, y por último, las limitaciones que se presuponen a esta «disposición» de datos, han de realizarse las siguientes consideraciones:
En primer término, se ha de señalar que nos hallamos ante un supuesto de cesión o comunicación de datos de carácter personal, tal y como se configura por el artículo 3.i de la Ley Orgánica 15/1999, de 14 de diciembre, de Protección de Datos de Carácter Personal -en adelante. LOPD-, cuando dispone que «A los efectos de la presente Ley Orgánica se entenderá por:…»Cesión o comunicación de datos»: toda revelación de datos realizada a una persona distinta del interesado».
En el presente caso, la Corporación Profesional estaría cediendo o comunicando a un tercero los datos de sus colegiados, resultando plenamente aplicable la norma contenida en el artículo 11.1 de la LOPD, que dispone al respecto:
«Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado»
El aludido artículo 11 de la LOPD precisa el contenido, alcance y efectos del necesario consentimiento del interesado, al manifestarse en sus diversos apartados en los siguientes términos:
«3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.»
Incluso la LOPD, en su artículo 27.1, establece la obligación a cargo del titular del fichero en que se encuentran los datos personales de comunicar a los titulares afectados el hecho de su cesión o comunicación a cada uno de los terceros, sin perjuicio de que la cesión en cuestión hubiere sido autorizada, disponiendo al efecto:
«El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.»
El incumplimiento de las obligaciones expuestas en materia de protección de datos de carácter personal viene sancionada de forma contundente por la LOPD, y así su artículo 44.1.b tipifica como infracción muy grave «la comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas», y el artículo 45.3 de la misma Ley dispone que «las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas.»
En conclusión, y de acuerdo con lo expuesto, es imprescindible el consentimiento de los colegiados -por supuesto, manifestado por escrito- para que la Corporación Profesional pueda proceder a ceder o comunicar los datos personales de los mismos a tercero, siendo suficiente una autorización única pero cuyo tenor recoja de forma expresa la finalidad de esa cesión y/o el tipo de actividad de los terceros beneficiarios de esa comunicación. En cuanto a los tipos de datos personales objeto de cesión, incluso existiendo la autorización de su titular y la eventual información al mismo sobre la finalidad de la comunicación y dirección e identidad del cesionario, se estima que deberían limitarse al nombre, apellidos y domicilio profesional.
IGNACIO IGLESIA-CARUNCHO
ABOGADO